Política de Privacidad

Última actualización: 2 de junio de 2026

1. INTRODUCCIÓN Y OBJETO

En Edena nos comprometemos a proteger la privacidad de todos los usuarios de nuestra plataforma y a ser completamente transparentes sobre cómo tratamos los datos personales. Esta Política de Privacidad describe las prácticas de tratamiento de datos de Edena Software S.L. en relación con el uso de la plataforma Edena y este sitio web, de conformidad con el Reglamento (UE) 2016/679 (GDPR), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

Edena es una plataforma de gestión educativa integral diseñada para centros educativos (colegios, escuelas infantiles, academias y grupos educativos). En tanto que plataforma que gestiona datos de menores de edad, alumnos y familias, aplicamos las máximas garantías de privacidad y seguridad.

2. RESPONSABLE DEL TRATAMIENTO

Razón social: Edena Software S.L.

CIF/NIF: B27627462

DUNS: 373964745

Domicilio: Barcelona, España

Correo electrónico: [email protected]

Sitio web: www.edena.es

3. DELEGADO DE PROTECCIÓN DE DATOS (DPD)

Edena ha designado un Delegado de Protección de Datos (DPD) responsable de supervisar el cumplimiento de la normativa en materia de protección de datos. Puede contactar con nuestro DPD en cualquier momento a través del correo: [email protected]

4. USUARIOS DE LA PLATAFORMA Y DATOS TRATADOS

Edena presta servicios a distintas categorías de usuarios, cada una con un tratamiento de datos específico:

4.1 Administradores y personal del centro educativo

Datos: nombre y apellidos, DNI/NIE, cargo, correo electrónico corporativo, número de teléfono, datos de acceso y registro de actividad en la plataforma.

Finalidad: gestión de la relación contractual con el centro, acceso y administración de la plataforma, comunicación operativa y soporte técnico.

4.2 Profesores y tutores académicos

Datos: nombre y apellidos, correo electrónico, datos de acceso, asignaturas o grupos asignados, calificaciones introducidas y comunicaciones con familias.

Finalidad: prestación del servicio educativo, comunicación con familias, gestión de calificaciones y control de asistencia.

4.3 Familias y tutores legales

Datos: nombre y apellidos, correo electrónico, número de teléfono, relación con el alumno, datos de pago (gestionados a través de proveedores certificados PCI DSS), historial de comunicaciones y documentación adjunta.

Finalidad: comunicación centro-familia, gestión de pagos y facturación, acceso al expediente del alumno y seguimiento educativo.

4.4 Alumnos

Datos: nombre y apellidos, fecha de nacimiento, fotografía (opcional, con consentimiento expreso), datos académicos (calificaciones, asistencia, evolución), y datos de salud relevantes (alergias, necesidades educativas especiales) cuando sean aportados expresamente por el centro o la familia.

Finalidad: gestión académica y del expediente del alumno, comunicación educativa y seguimiento del progreso escolar.

4.5 Visitantes del sitio web

Datos: datos de navegación, dirección IP (anonimizada), páginas visitadas, duración de la sesión y datos de formularios de contacto o solicitud de demo (nombre, correo electrónico, nombre del centro, mensaje).

Finalidad: análisis del uso del sitio web, mejora de la experiencia del usuario y atención a solicitudes de información.

5. FINALIDADES DEL TRATAMIENTO Y BASE JURÍDICA

a) Gestión del contrato y prestación del servicio. Base: ejecución de un contrato (art. 6.1.b GDPR).

b) Gestión académica y expedientes de alumnos. Base: ejecución de un contrato / interés legítimo del centro (art. 6.1.b y 6.1.f GDPR).

c) Comunicación entre el centro y las familias. Base: ejecución de un contrato / interés legítimo (art. 6.1.b y 6.1.f GDPR).

d) Facturación y gestión de pagos. Base: ejecución de un contrato / obligación legal (art. 6.1.b y 6.1.c GDPR).

e) Envío de comunicaciones comerciales sobre Edena. Base: consentimiento (art. 6.1.a GDPR). Puede revocarse en cualquier momento.

f) Cumplimiento de obligaciones legales fiscales, laborales y mercantiles. Base: obligación legal (art. 6.1.c GDPR).

g) Mejora de la plataforma y análisis estadístico anonimizado. Base: interés legítimo (art. 6.1.f GDPR).

6. TRATAMIENTO ESPECIAL: DATOS DE MENORES DE EDAD

Edena es plenamente consciente de la especial sensibilidad que implica el tratamiento de datos personales de menores. En cumplimiento del artículo 8 del GDPR y del artículo 7 de la LOPDGDD:

- Los centros educativos, en calidad de responsables del tratamiento respecto a los datos de sus alumnos, son quienes recaban el consentimiento de los padres o tutores legales para el tratamiento de datos de menores de 14 años.

- Edena actúa como encargado del tratamiento respecto a los datos de alumnos introducidos por el centro educativo, bajo las instrucciones de este.

- Los datos de salud y otras categorías especiales de datos de alumnos (art. 9 GDPR) solo se tratan cuando el centro los introduce expresamente y existe una base jurídica específica (consentimiento explícito o necesidad para la prestación del servicio educativo).

- Edena no utiliza los datos de menores para ninguna finalidad distinta a las estrictamente educativas y de gestión del centro.

7. CONSERVACIÓN DE LOS DATOS

Los datos se conservarán durante el tiempo estrictamente necesario para la finalidad para la que fueron recabados y, en todo caso, durante los plazos legalmente establecidos:

- Datos de contratos y facturación: 6 años (obligación fiscal y mercantil).

- Datos de comunicaciones comerciales: hasta la revocación del consentimiento.

- Expedientes de alumnos: mientras dure la relación con el centro y, tras la baja, durante el plazo de prescripción de posibles responsabilidades (máximo 5 años).

- Logs de acceso y actividad en la plataforma: máximo 12 meses.

- Datos de visitantes del sitio web: según la política de cookies aplicable.

Transcurridos estos plazos, los datos serán eliminados o anonimizados de forma irreversible.

8. DESTINATARIOS Y ENCARGADOS DEL TRATAMIENTO

Edena no vende ni cede datos personales a terceros con fines comerciales. Los datos únicamente pueden ser comunicados a:

- Proveedores tecnológicos y de infraestructura cloud (hosting, bases de datos) que actúan como encargados del tratamiento bajo contratos que cumplen con el GDPR.

- Proveedores de servicios de pago certificados (PCI DSS) para la gestión de cobros y facturación.

- Proveedores de análisis y monitorización del servicio, siempre de forma anonimizada o agregada.

- Autoridades y organismos públicos, exclusivamente en cumplimiento de obligaciones legales.

Todos nuestros proveedores están sometidos a acuerdos de confidencialidad y contratos de encargo del tratamiento que garantizan el cumplimiento del GDPR.

9. TRANSFERENCIAS INTERNACIONALES DE DATOS

Con carácter general, los datos se alojan en servidores ubicados en el Espacio Económico Europeo (EEE). En los casos excepcionales en que sea necesaria una transferencia internacional fuera del EEE, Edena garantiza que se adoptan las salvaguardas adecuadas previstas en el GDPR, como las cláusulas contractuales tipo aprobadas por la Comisión Europea o la existencia de una decisión de adecuación.

10. DERECHOS DE LOS INTERESADOS

De acuerdo con el GDPR y la LOPDGDD, los usuarios pueden ejercer los siguientes derechos:

- Derecho de acceso: conocer qué datos personales tratamos sobre usted.

- Derecho de rectificación: corregir datos inexactos o incompletos.

- Derecho de supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando ya no sean necesarios para el fin para el que fueron recabados.

- Derecho de oposición: oponerse al tratamiento de sus datos en determinadas circunstancias.

- Derecho de limitación del tratamiento: solicitar la restricción del tratamiento en ciertos supuestos previstos por la normativa.

- Derecho de portabilidad: recibir sus datos en un formato estructurado, de uso común y lectura mecánica.

- Derecho a retirar el consentimiento: en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a su retirada.

- Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos significativos.

Para ejercer cualquiera de estos derechos, envíe una solicitud a [email protected] indicando su nombre, apellidos y una copia de su documento de identidad. Responderemos en el plazo máximo de un mes.

Si considera que sus derechos no han sido atendidos adecuadamente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

11. MEDIDAS DE SEGURIDAD Y ESTÁNDARES DE CUMPLIMIENTO

Edena implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

- Cifrado de datos en tránsito (TLS/HTTPS) y en reposo.

- Control de acceso basado en roles y principio de mínimo privilegio.

- Autenticación segura y gestión de sesiones.

- Monitorización continua y detección de incidentes de seguridad.

- Copias de seguridad periódicas y planes de recuperación ante desastres.

- Formación periódica del equipo en protección de datos y ciberseguridad.

- Evaluaciones de impacto (DPIA) para tratamientos de alto riesgo.

En caso de producirse una brecha de seguridad que afecte a derechos y libertades de los interesados, Edena notificará a la autoridad de control en el plazo de 72 horas y, cuando sea necesario, informará a los propios afectados. Cuando la brecha afecte a Información Sanitaria Protegida (PHI) en el marco de la normativa HIPAA, Edena seguirá adicionalmente los procedimientos de notificación de brechas exigidos por dicha normativa (HIPAA Breach Notification Rule, 45 CFR §§ 164.400–414).

Edena cumple con los siguientes estándares de seguridad y ha implementado los controles correspondientes:

- SOC 2 Tipo II (AICPA): los controles y procesos de Edena están diseñados conforme al marco SOC 2 Tipo II (seguridad, disponibilidad, confidencialidad, integridad del procesamiento y privacidad). Podemos facilitar documentación de nuestros controles bajo acuerdo de confidencialidad (NDA) a clientes que lo soliciten a [email protected].

- ISO/IEC 27001: Edena implementa un Sistema de Gestión de la Seguridad de la Información (SGSI) alineado con los requisitos de la norma ISO/IEC 27001, con procesos documentados, evaluados y sometidos a mejora continua.

- HIPAA (Health Insurance Portability and Accountability Act, EE.UU.): Edena cumple con las salvaguardas técnicas, administrativas y físicas (45 CFR Part 164) requeridas por HIPAA para la protección de la Información Sanitaria Protegida (PHI). Los datos de salud de alumnos (alergias, necesidades educativas especiales y otras condiciones médicas) se tratan con los máximos estándares de seguridad, conforme a los principios de HIPAA y al artículo 9 del GDPR.

- GDPR/LOPDGDD: cumplimiento íntegro del Reglamento (UE) 2016/679 y de la Ley Orgánica 3/2018. Bases jurídicas, derechos de los interesados y medidas de seguridad se describen en detalle en las secciones de esta Política de Privacidad.

12. EXACTITUD Y VERACIDAD DE LOS DATOS

El usuario se compromete a proporcionar datos verídicos, exactos y actualizados. Edena no será responsable de los perjuicios que pudieran derivarse del uso de datos inexactos o falsos facilitados por el usuario. Si los datos varían, el usuario deberá comunicarlo a la mayor brevedad posible a [email protected].

13. MODIFICACIONES DE ESTA POLÍTICA

Edena podrá actualizar esta Política de Privacidad para adaptarla a cambios legislativos, resoluciones de autoridades de control o modificaciones en la plataforma. Cuando los cambios sean sustanciales, se notificará a los usuarios por correo electrónico o mediante aviso destacado en la plataforma. La fecha de "última actualización" al inicio de este documento refleja siempre la versión vigente.

14. CONTACTO Y RECLAMACIONES

Para cualquier consulta, solicitud o reclamación relacionada con el tratamiento de sus datos personales, puede contactar con nuestro Delegado de Protección de Datos:

Correo electrónico: [email protected]

Para reclamaciones ante la autoridad de control competente:

Agencia Española de Protección de Datos (AEPD)

C/ Jorge Juan, 6, 28001 Madrid

www.aepd.es

15. HIPAA: ACUERDO DE ENCARGADO DE TRATAMIENTO (BUSINESS ASSOCIATE AGREEMENT)

Cuando Edena procese, por cuenta de un centro educativo, Información Sanitaria Protegida (Protected Health Information, PHI) de personas sujetas a la Health Insurance Portability and Accountability Act (HIPAA) de Estados Unidos, Edena actuará como Business Associate en el sentido del 45 CFR § 160.103.

En tal supuesto, el centro educativo (en calidad de entidad cubierta (covered entity) o Business Associate principal) deberá formalizar con Edena un Business Associate Agreement (BAA) conforme a los requisitos del 45 CFR § 164.504(e) antes de iniciar cualquier tratamiento de PHI en la Plataforma.

Para solicitar la firma de un BAA, contacte con: [email protected], indicando la naturaleza de los datos de salud a tratar y el alcance del servicio requerido.

Los datos de salud de alumnos tratados en el contexto de la normativa española (alergias, necesidades educativas especiales u otras condiciones médicas) son datos de categoría especial conforme al artículo 9 del GDPR, y su tratamiento se ampara en el consentimiento explícito del titular o de su representante legal, o en la necesidad de dicho tratamiento para la prestación del servicio educativo, con las máximas garantías de seguridad técnica y organizativa.